Zustimmung zur Datenschutzerklärung in E-Commerce und SaaS: Ein Verstoß gegen die DSGVO?

Einführung

In meiner Arbeit in der Welt des E-Commerce und der SaaS-Anbieter ist es eine gängige Praxis, dass Nutzer zur Zustimmung zur Datenschutzerklärung aufgefordert werden. Diese scheinbar harmlose Aktion könnte jedoch tiefgreifende rechtliche Konsequenzen haben. Haben Sie jemals in Betracht gezogen, dass diese Praxis eine Verletzung der Datenschutzgrundverordnung (DSGVO) darstellen und gegen den Grundsatz von Treu und Glauben verstoßen könnte?

In diesem Blogpost beleuchte ich dieses komplexe und oft übersehene Thema. Ich beziehe mich dabei auf eine aktuelle, aber eventuell schnell übersehene Entscheidung des Europäischen Datenschutzausschusses (EDSA) und diskutiere, wie diese die Landschaft des digitalen Handels beeinflussen könnte.

Die Frage, die ich stelle, ist nicht nur theoretisch. Sie könnte erhebliche praktische Auswirkungen auf die Art und Weise haben, wie E-Commerce- und SaaS-Anbieter ihre Datenschutzerklärungen gestalten und präsentieren. Es könnte sogar dazu führen, dass Shop-Systeme und Marketing-Funnels angepasst werden müssen, um den rechtlichen Anforderungen gerecht zu werden.

Dieser Blogpost ist ein Muss für jeden, der in der digitalen Wirtschaft tätig ist und die Bedeutung der Einhaltung der Datenschutzbestimmungen versteht. Machen Sie sich bereit, Ihre bisherigen Annahmen in Frage zu stellen und einen frischen Blick auf die Datenschutzerklärung in Ihrem Unternehmen zu werfen.

Die AGB-rechtliche Dimension

Die Einholung einer Zustimmung zur Datenschutzerklärung kann dazu führen, dass die Datenschutzerklärung einer strengen AGB-rechtlichen Kontrolle unterliegt. Dies kann zur Folge haben, dass bestimmte Informationen in der Datenschutzerklärung als unwirksame Klauseln beurteilt werden. Zudem besteht das Risiko, dass solche Klauseln als Wettbewerbsverstöße abgemahnt werden könnten.

Gemäß dem Urteil des Kammergerichts vom 27. Dezember 2018 (23 U 196/13) können bestimmte Klauseln in der Datenschutzerklärung, die Kunden unangemessen benachteiligen und nicht mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird (Art. 6 Abs. 1 DSGVO), zu vereinbaren sind, als unwirksam beurteilt werden (§ 307 Abs. 1 Satz 1, Abs. 2 Nr. 1 BGB).

Insbesondere wurde festgestellt, dass die bloße einseitige Verlautbarung bestimmter Datenverarbeitungspraktiken durch einen Klauselverwender keine Einwilligung des Betroffenen darstellt. Die Unterrichtung über Datenverarbeitungspraktiken, die sich die Beklagte selbst erlaubt und die ihre Kunden ungefragt hinzunehmen haben, ersetzt nicht deren Einwilligung. Das Argument, dass die streitgegenständliche Datenschutzrichtlinie nicht zum Gegenstand einer Einwilligung gemacht, sondern lediglich informatorisch auf sie verwiesen werde und an keiner Stelle der vom Kläger beanstandeten Bestimmungen davon die Rede sei, dass der Verbraucher in eine Datenverarbeitung einwillige, wendet sich letztlich gegen sie. Denn darin liegt gerade die unzulässige Abweichung der Klauseln von der gesetzlichen Regelung, dass sie dem Verbraucher den unzutreffenden Eindruck vermitteln, dass die Beklagte zur Verarbeitung personenbezogener Daten berechtigt sei, ohne dass es auf dessen Einwilligung ankomme.

Darüber hinaus wurde festgestellt, dass die Verwendung von Klauseln, die den Kunden den Eindruck vermitteln, dass er sie sich im Streitfall als verbindliche Regelung entgegenhalten lassen muss, als Allgemeine Geschäftsbedingungen im Sinne von § 305 Abs. 1 Satz 1 BGB gelten können. Diese Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden.

In Anbetracht der Entscheidung des Kammergerichts und der Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) stellt sich die Frage, ob Unternehmen bei der Verwendung von Rechtstexten wie Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärungen auf Onlinediensten überhaupt Zustimmungen einfordern sollten. Die strengen Anforderungen an die Wirksamkeit solcher Zustimmungen und die potenziellen rechtlichen Konsequenzen bei Nichtbeachtung dieser Anforderungen machen es zu einem komplexen und risikoreichen Unterfangen.

Die Entscheidung des Europäischen Datenschutzausschusses und ihre juristischen Details

Die EDSA-Entscheidung unterstreicht die Unzulässigkeit der Einholung von Zustimmungen in Datenschutzerklärungen und die mögliche Verletzung der DSGVO, insbesondere wenn die Erklärung lediglich eine Informationserteilung gemäß Art. 13 DSGVO darstellt. Dieser Beschluss betont den Grundsatz von Treu und Glauben, der einen angemessenen Ausgleich zwischen den geschäftlichen Interessen der Verantwortlichen und den Rechten und Anforderungen der betroffenen Personen gewährleisten soll. Die Entscheidung hebt hervor, dass die Grundprinzipien der Verarbeitung, die in Artikel 5 DSGVO aufgeführt sind, verletzt werden können, was zu erheblichen Verwaltungsstrafen führen kann. Zudem wurde die Frist zur Einhaltung der Entscheidung von sechs Monaten auf drei Monate verkürzt.

Die EDSA-Entscheidung geht auf die vollständigen juristischen Details ein und betont, dass die Möglichkeit, einer bestimmten Verarbeitung spezifisch zuzustimmen, unter Artikel 6(1)(f) DSGVO fällt. Sie stellt fest, dass die Nutzer von WhatsApp dazu gezwungen waren, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen, was die Erwartungen der Nutzer verwirrt hat. Die Verarbeitung durch WhatsApp kann daher nicht als ethisch und wahrheitsgemäß angesehen werden, da sie in Bezug auf die Art der verarbeiteten Daten, die verwendete Rechtsgrundlage und die Zwecke der Verarbeitung verwirrend ist.

Die EDSA-Entscheidung und ihre Auswirkungen auf Onlineanbieter

Die Entscheidung des Europäischen Datenschutzausschusses (EDSA) hat weitreichende Auswirkungen auf die Praktiken von Onlineanbietern. Insbesondere die Praxis von WhatsApp, Nutzer zur Zustimmung zu ihren Nutzungsbedingungen und Datenschutzrichtlinien zu zwingen, wurde kritisiert. Die EDSA-Entscheidung stellt klar, dass diese Praxis nicht als ethisch und wahrheitsgemäß angesehen werden kann, da sie in Bezug auf die Art der verarbeiteten Daten, die verwendete Rechtsgrundlage und die Zwecke der Verarbeitung verwirrend ist.

Die Entscheidung hat auch Auswirkungen auf andere Onlineanbieter. Sie wirft ernsthafte Fragen bezüglich der Praktiken und Nutzer-Funnel von Onlineanbietern auf und fordert eine gründliche Überprüfung und Anpassung ihrer Datenschutzerklärungen und Nutzungsbedingungen. Es ist daher wichtig zu betonen, dass die Auswirkungen dieser Entscheidung weitreichend sein können und dass jeder Fall einzeln bewertet werden sollte.

Die Auswirkungen auf E-Commerce und SaaS-Anbieter

Viele E-Commerce- und SaaS-Anbieter haben die möglichen rechtlichen Probleme, die mit der Einholung der Zustimmung zu ihrer Datenschutzerklärung einhergehen, bisher nicht vollständig erkannt. Diese Praxis kann nicht nur AGB-rechtlich problematisch sein, sondern auch eine Verletzung der DSGVO selber darstellen. Daher ist es wichtig, dass Anbieter diese Praxis überdenken und gegebenenfalls anpassen.  Die rechtlichen Ausführungen in der EDSA-Entscheidung unterstreichen die Notwendigkeit einer klaren und verständlichen Zustimmung zur Datenverarbeitung. Die bloße einseitige Verlautbarung bestimmter Datenverarbeitungspraktiken durch einen Anbieter stellt keine Einwilligung des Betroffenen dar. Die Unterrichtung über Datenverarbeitungspraktiken, die sich der Anbieter selbst erlaubt und die seine Kunden ungefragt hinzunehmen haben, ersetzt nicht deren Einwilligung. Dies kann zu erheblichen rechtlichen Konsequenzen führen, einschließlich Verwaltungsstrafen.

Es ist daher von entscheidender Bedeutung, dass Anbieter ihre Datenschutzerklärungen und Nutzungsbedingungen überprüfen und sicherstellen, dass sie den Anforderungen der DSGVO entsprechen. Dies beinhaltet die Bereitstellung klarer und verständlicher Informationen über die Datenverarbeitungspraktiken und die Einholung einer ausdrücklichen Zustimmung der Nutzer zur Datenverarbeitung, wenn denn eine solche, in der gegebenen Situation notwendig ist.  Darüber hinaus sollten Anbieter bedenken, dass die bloße Bereitstellung von Informationen über Datenverarbeitungspraktiken nicht ausreicht, um die Zustimmung der Nutzer zu erlangen. Sie müssen sicherstellen, dass die Nutzer die Möglichkeit haben, ihre Zustimmung zu verweigern und dass diese Entscheidung respektiert wird.

Umgedreht gilt aber eben auch, dass für eine reine „Information“ zur Datenverarbeitung bzw. der Art und Weise der Datenverarbeitung, ohne dass die DSGVO eine Zustimmung bestimmt, wohl gerade KEINE Zustimmung eingeholt werden sollte.

Die Rolle der DSGVO in der digitalen Welt

In der heutigen digitalen Welt spielt die Datenschutz-Grundverordnung (DSGVO) eine entscheidende Rolle. Sie dient dazu, die Privatsphäre der Bürger zu schützen und Unternehmen dazu zu verpflichten, verantwortungsbewusst mit personenbezogenen Daten umzugehen. Die DSGVO hat das Bewusstsein für Datenschutzfragen geschärft und die Standards für den Umgang mit personenbezogenen Daten erhöht. Die Entscheidung des EDSA unterstreicht die Bedeutung der DSGVO und zeigt, dass Verstöße gegen diese Verordnung ernsthafte Konsequenzen haben können. Sie zeigt auch, dass die Einhaltung der DSGVO nicht nur eine rechtliche Verpflichtung ist, sondern auch ein wichtiger Aspekt des Aufbaus von Vertrauen und Glaubwürdigkeit bei den Kunden.

Ein Verstoß gegen die DSGVO kann nicht nur zu rechtlichen Konsequenzen führen, sondern auch das Vertrauen der Kunden in Ihr Unternehmen untergraben und Ihren Ruf schädigen. Daher ist es in Ihrem besten Interesse, sicherzustellen, dass Sie die Datenschutzbestimmungen einhalten.

Es ist wichtig zu betonen, dass die Einhaltung der DSGVO nicht nur eine Frage der Einhaltung von Gesetzen ist. Es geht auch darum, ethisch und verantwortungsbewusst zu handeln. Unternehmen, die die Privatsphäre ihrer Kunden respektieren und schützen, werden wahrscheinlich einen Wettbewerbsvorteil haben, da sie das Vertrauen und die Loyalität ihrer Kunden gewinnen können.

Abschließend ist es wichtig zu betonen, dass die Einhaltung der DSGVO eine kontinuierliche Anstrengung erfordert. Datenschutz ist kein einmaliges Ereignis, sondern ein fortlaufender Prozess, der regelmäßige Überprüfungen und Anpassungen erfordert. Unternehmen müssen proaktiv sein und sicherstellen, dass sie auf dem neuesten Stand der Datenschutzbestimmungen und -praktiken sind.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.